Web3 Безпека: посібник з використання апаратних гаманців
З огляду на те, що вартість криптоактивів постійно зростає, методи атак на апаратні гаманці стають дедалі складнішими. У цій статті буде розглянуто три основні етапи: купівлю, використання та зберігання апаратних гаманців, проаналізовано поширені ризики, розглянуто типові шахрайства та надано практичні рекомендації щодо захисту, щоб допомогти користувачам ефективно захистити безпеку своїх криптоактивів.
Ризики на етапі покупки
В області покупки існує два основних види шахрайств:
Фальшивий гаманець: зовні нормальний, але прошивка була змінена, що може призвести до витоку приватного ключа.
Справжній гаманець + Шкідливе ведення: продаж "ініціалізованих" пристроїв через неофіційні канали або спонукання до завантаження підроблених застосунків.
Типовий випадок: певний користувач придбав апаратний гаманець на платформі електронної комерції і виявив, що інструкція подібна до скретч-картки. Зловмисник заздалегідь активує пристрій, отримує мнемонічну фразу, а потім перепаковує його і продає через неофіційні канали. Користувач активує за інструкцією та переводить активи, після чого кошти відразу ж зникають.
Більш прихована форма атаки - це модифікація на рівні прошивки. Пристрій виглядає нормально, але в прошивку вбудовано бекдор. Користувачам важко це помітити, як тільки активи зберігаються, прихований бекдор може віддалено витягувати приватний ключ або підписувати транзакції.
Точки атаки під час використання
Пастка фішингу у підписаній авторизації
"Сліпе підписання" є великою небезпекою. Користувач, не маючи чіткого уявлення про зміст угоди, підтверджує запит на підпис, який важко розпізнати, що може призвести до надання дозволу на переказ коштів на незнайомі адреси або виконання шкідливих смарт-контрактів.
маскування офіційної фішингової атаки
Зловмисники часто використовують "офіційні" назви для обману. Наприклад, надсилають фішингові електронні листи з подібних доменів або використовують реальні безпекові події для створення паніки. Один відомий бренд апаратного гаманця зазнав витоку даних, після чого зловмисники підробили офіційні повідомлення та надіслали фішингові електронні листи, стверджуючи, що потрібно оновлення або перевірка безпеки.
Більше того, зловмисники можуть надсилати підроблені апаратні гаманці, стверджуючи, що це "безпечні пристрої", які були змінені у відповідь на витік даних. Ці пристрої насправді оснащені шкідливим програмним забезпеченням, яке спонукає користувачів вводити оригінальні мнемонічні фрази гаманця для "міграції".
атака посередника
Хоча апаратний гаманець може ізолювати приватний ключ, під час транзакції все ж потрібно використовувати мобільний або комп'ютерний додаток та різні канали передачі. Якщо ці етапи будуть контрольовані, зловмисник може змінити адресу отримання або підробити підписану інформацію.
Рекомендації щодо зберігання та резервного копіювання
Ніколи не зберігайте мнемонічну фразу на будь-яких підключених до мережі пристроях та платформах.
Ручне написання мнемонічної фрази на фізичному папері, розподіл її у кількох безпечних місцях.
Активи високої вартості можна зберігати на металевих пластинах, стійких до вогню та води.
Регулярно перевіряйте умови зберігання мнемонічної фрази, щоб забезпечити її безпеку та доступність.
Підсумок безпечного використання
Придбати апаратний гаманець через офіційні канали.
Переконайтеся, що пристрій знаходиться в неактивному стані, якщо виявите аномалію, негайно припиніть використання та повідомте офіційним особам.
Ключові операції виконуються особисто, включаючи активацію пристрою, налаштування PIN-коду, створення адреси та резервне копіювання мнемонічної фрази тощо.
Під час першого використання необхідно принаймні тричі підряд створити новий гаманець, записати згенеровані мнемонічні фрази та відповідні адреси, забезпечивши, щоб результати кожного разу не повторювалися.
Безпека апаратного гаманця залежить не лише від самого пристрою, але й від способу використання користувачем. Слід бути пильним та суворо дотримуватись норм безпечного користування, щоб ефективно захистити безпеку криптоактивів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Посібник з безпеки апаратного гаманця: придбання, використання та зберігання всебічного захисту
Web3 Безпека: посібник з використання апаратних гаманців
З огляду на те, що вартість криптоактивів постійно зростає, методи атак на апаратні гаманці стають дедалі складнішими. У цій статті буде розглянуто три основні етапи: купівлю, використання та зберігання апаратних гаманців, проаналізовано поширені ризики, розглянуто типові шахрайства та надано практичні рекомендації щодо захисту, щоб допомогти користувачам ефективно захистити безпеку своїх криптоактивів.
Ризики на етапі покупки
В області покупки існує два основних види шахрайств:
Типовий випадок: певний користувач придбав апаратний гаманець на платформі електронної комерції і виявив, що інструкція подібна до скретч-картки. Зловмисник заздалегідь активує пристрій, отримує мнемонічну фразу, а потім перепаковує його і продає через неофіційні канали. Користувач активує за інструкцією та переводить активи, після чого кошти відразу ж зникають.
Більш прихована форма атаки - це модифікація на рівні прошивки. Пристрій виглядає нормально, але в прошивку вбудовано бекдор. Користувачам важко це помітити, як тільки активи зберігаються, прихований бекдор може віддалено витягувати приватний ключ або підписувати транзакції.
Точки атаки під час використання
Пастка фішингу у підписаній авторизації
"Сліпе підписання" є великою небезпекою. Користувач, не маючи чіткого уявлення про зміст угоди, підтверджує запит на підпис, який важко розпізнати, що може призвести до надання дозволу на переказ коштів на незнайомі адреси або виконання шкідливих смарт-контрактів.
маскування офіційної фішингової атаки
Зловмисники часто використовують "офіційні" назви для обману. Наприклад, надсилають фішингові електронні листи з подібних доменів або використовують реальні безпекові події для створення паніки. Один відомий бренд апаратного гаманця зазнав витоку даних, після чого зловмисники підробили офіційні повідомлення та надіслали фішингові електронні листи, стверджуючи, що потрібно оновлення або перевірка безпеки.
Більше того, зловмисники можуть надсилати підроблені апаратні гаманці, стверджуючи, що це "безпечні пристрої", які були змінені у відповідь на витік даних. Ці пристрої насправді оснащені шкідливим програмним забезпеченням, яке спонукає користувачів вводити оригінальні мнемонічні фрази гаманця для "міграції".
атака посередника
Хоча апаратний гаманець може ізолювати приватний ключ, під час транзакції все ж потрібно використовувати мобільний або комп'ютерний додаток та різні канали передачі. Якщо ці етапи будуть контрольовані, зловмисник може змінити адресу отримання або підробити підписану інформацію.
Рекомендації щодо зберігання та резервного копіювання
Підсумок безпечного використання
Безпека апаратного гаманця залежить не лише від самого пристрою, але й від способу використання користувачем. Слід бути пильним та суворо дотримуватись норм безпечного користування, щоб ефективно захистити безпеку криптоактивів.